Escolar Documentos
Profissional Documentos
Cultura Documentos
0DQXDOGHOD6ROXFLyQ/LQX[
3UHSDUDGRSDUD
8QLYHUVLGDG1DFLRQDO$JUDULDGHOD6HOYD81$6
(ODERUDGRSRU
*UXSR/HDIDU
1 de 104
&217(1,'2
,1752'8&&,1
',6(f2<(6758&785$'(6(59,'25(6
A.
L
LL
LLL
LY
(/6,67(0$23(5$7,92*18'(%,$1/,18;
A.
B.
C.
A.
B.
C.
QU ES DEBIAN? .........................................................................................................................10
INFORMACIN DE VERSIN SOBRE DEBIAN ETCH ..........................................................................11
QU SIGNIFICA LIBRE? O QU QUIEREN DECIR CON SOFTWARE LIBRE? .....................................11
(/6(59,&,2'(0(16$-(5$
OPENFIRE ......................................................................................................................................15
REQUERIMIENTOS Y PREINSTALACIN DE OPENFIRE ....................................................................15
INSTALACIN DEL SERVICIO DE MENSAJERIA ...............................................................................15
L
'HVFDUJDGHSDTXHWHV
LL
'HVFRPSULPLHQGR2SHQILUH
LLL ,QVWDODQGROD9HUVLRQGH-DYD-5(
LY ,QVWDODFLyQGHOD%DVHGH'DWRVSDUD2SHQILUH
Y
(MHFXFLyQGH2SHQILUH
YL 6HOHFFLyQGHOHQJXDMH
YLL
&RQILJXUDFLRQGHO6HUYLGRU
YLLL
&RQILJXUDFLRQGHOD%DVHGH'DWRV
L[ &RQILJXUDFLRQGHORV3HUILOHV
[
&XHQWD$GPLQ
[L 6XPDULRGH&RQILJXUDFLRQGH2SHQILUH6HUYHU
[LL
,QVWDODQGR3OXJLQV
[LLL
,QVWDODQGR6SDUN
[LY
&UHDUXQDQXHYDFXHQWDFRQ6SDUN
(/6(59,&,2'(%$6('('$726
A.
B.
C.
D.
MYSQL.........................................................................................................................................32
INSTALACIN DE MYSQL .............................................................................................................32
CONFIGURANDO LA BASE DE DATOS..............................................................................................33
TRABAJANDO CON TABLAS EN MYSQL ........................................................................................35
L
&UHDQGRXQDWDEOD
LL
3REODQGRQXHVWUDEDVHGHGDWRV0\64/
LLL ([SORUDQGRODVWDEODV0\64/PHGLDQWHFRQVXOWDV
E.
PRIVILEGIOS EN MYSQL...............................................................................................................41
L
'HILQLHQGRSULYLOHJLRVFRQ*5$17
LL
3UREDQGRORVSHUPLVRVGHORVXVXDULRV
LLL 5HWLUDQGRSHUPLVRVGHXVXDULRVFRQHOFRPDQGR5(92.(
LY (OLPLQDQGRFXHQWDVFRQ'(/(7(
(/6(59,&,2:(%
A.
B.
C.
A.
B.
APACHE.........................................................................................................................................49
INSTALANDO APACHE COMO PARTE DE LAMPP ...........................................................................49
FICHEROS A TENER EN CUENTA .....................................................................................................51
(/6(59,'25'(&255(26
L
LL
POSTFIX.........................................................................................................................................52
6SDP$VVDVVLQ
:HE0DLO
INSTALACIN DEL SOFTWARE NECESARIO .....................................................................................53
2 de 104
C.
D.
A.
B.
C.
L
LL
LLL
LY
&RQILJXUDFLyQGH3RVWIL[
&RQILJXUDFLyQGH6DVODXWKG
&RQILJXUDFLyQGH6SDPDVVDVVLQ
&RQILJXUDFLyQGH6TXLUUHO0DLO
DANDO DE ALTA Y BAJA A USUARIOS ............................................................................................61
CONTROLANDO LOS SERVICIOS .....................................................................................................61
(/6(59,'25931
IPSEC .............................................................................................................................................63
INSTALACIN DE IPSEC..................................................................................................................63
CONFIGURACIN DE LA CONEXIN VPN - ROADWARRIORS .........................................................63
L
7RSRORJtD
LL
1HWZRUNLQJ
LLL ,SVHF
LY $FWLYDQGRHOIRUZDUGHQHOQXFOHR
Y
5HJODVGHOILUHZDOO
YL &RQILJXUDFLyQGHFOLHQWHVUHPRWRV
6(59,'25'($5&+,926
A.
B.
C.
D.
E.
SAMBA ..........................................................................................................................................69
INSTALANDO SAMBA.....................................................................................................................69
CONFIGURACIN DE SAMBA .........................................................................................................69
ADICIONANDO Y ADMINISTRANDO USUARIOS ...............................................................................70
ELIMINANDO USUARIOS ................................................................................................................71
A.
(/),5(:$//
FIREWALL .....................................................................................................................................72
&RUWDIXHJRVGHFDSDGHUHGRGHILOWUDGRGHSDTXHWHV
&RUWDIXHJRVGHFDSDGHDSOLFDFLyQ
&RUWDIXHJRVSHUVRQDO
9HQWDMDVGHXQFRUWDIXHJRV
/LPLWDFLRQHVGHXQFRUWDIXHJRV
3ROtWLFDVGHOFRUWDIXHJRV
B. SHOREWALL ..................................................................................................................................75
C. INSTALANDO SHOREWALL ............................................................................................................75
D. CONFIGURACION BASICA DE REGLAS ............................................................................................75
L
&UHDQGR]RQDV
LL
'HILQLHQGRLQWHUIDFHV
LLL (QPDVFDUDPLHQWR
LY 'HILQLHQGRSROLWLFDV
Y
&UHDQGRUHJODV
E.
VERIFICACION, DETENCION Y COMPILACION DE SHOREWALL........................................................78
L
&KHFNHDQGRUHJODV
LL
5HFRPSLODFLRQGHUHJODV
LLL /LPSLH]DGHUHJODV
LY 'HWHQHUODVUHJODV
L
LL
LLL
LY
Y
YL
(/6(59,'25'(),/75$'2'(&217(1,'2
A.
B.
C.
SQUID ............................................................................................................................................79
DANSGUARDIAN ............................................................................................................................79
INSTALACIN Y CONFIGURACIN ..................................................................................................79
L
,QVWDODFLyQGH648,'
LL
,QVWDODFLyQGH'DQV*XDUGLDQ
LLL &RQILJXUDFLyQGH'DQV*XDUGLDQ
LY &RQILJXUDFLyQGH648,'
D. CONFIGURACIN AVANZADA: MTODOS DE FILTRADO..................................................................85
E.
FILTER GROUPS .............................................................................................................................87
F.
SARG ...........................................................................................................................................87
(/6(59,&,21$*,26
3 de 104
A.
B.
C.
NAGIOS .........................................................................................................................................90
INSTALACIN DE NAGIOS ..............................................................................................................90
CONFIGURACIN DE AGENTES ......................................................................................................91
(/6(59,&,2)73
A.
B.
C.
D.
E.
F.
VSFTPD .........................................................................................................................................95
INSTALACIN DEL SERVIDOR FTP.................................................................................................95
CONFIGURACIN DEL SITE FTP.....................................................................................................95
ALTA DE USUARIOS FTP ...............................................................................................................96
DENEGANDO EL ACCESO A USUARIOS FTP ....................................................................................97
PARMETROS ESPECIALES .............................................................................................................97
L
3DUiPHWURDQRQ\PRXVBHQDEOH
LL
3DUiPHWURORFDOBHQDEOH
LLL 3DUiPHWURZULWHBHQDEOH
LY 3DUiPHWURIWSGBEDQQHU
Y
(VWDEOHFLHQGRMDXODVSDUDORVXVXDULRV
YL &RQWUROGHODQFKRGHEDQGD
G. APLICANDO LOS CAMBIOS. ............................................................................................................99
A.
B.
C.
D.
(/6(59,&,2,'6
SNORT.......................................................................................................................................101
INSTALACIN DE SNORT ..............................................................................................................101
CONFIGURACIN DE SNORT .........................................................................................................101
MANEJANDO LOS SERVICIOS .......................................................................................................102
4 de 104
,QWURGXFFLyQ
La Universidad Agraria de la Selva, de ahora en adelante la UNAS, implemento
un Proyecto de Solucin Linux basados en un conjunto de servicios de
informticos tradicionales, pero, que ofrezca cobertura perimetral y seguridad
en la sede principal y a los nuevos servicios de aplicaciones que se vienen
desplegando para usuarios internos y externos.
Las secciones que veremos aqu han sido agrupadas siguiendo el criterio de
implementacin:
5 de 104
'LVHxR\HVWUXFWXUDGHVHUYLGRUHV
6 de 104
$
&RQILJXUDQGRODVLQWHUIDFHVGHUHG
L
6HUYLGRU)LUHZDOO3UR[\931
auto lo
iface lo inet loopback
#
mapping hotplug
#
script grep
#
map eth0
########################### Zona Internet
auto eth0
iface eth0 inet static
address
200.60.134.180
netmask
255.255.255.240
gateway
200.60.134.177
###########################
auto eth0:0
iface eth0:0 inet static
address
200.60.134.181
netmask
255.255.255.240
##########################
auto eth0:1
iface eth0:1 inet static
address
200.60.134.182
netmask
255.255.255.240
##########################
auto eth0:2
iface eth0:2 inet static
address
200.60.134.183
netmask
255.255.255.240
########################### Zona Local
auto eth1
iface eth1 inet static
address
172.16.0.1
netmask
255.255.252.0
network
172.16.0.0
broadcast 172.16.0.255
##########################
auto eth0:1
iface eth0:1 inet static
address
200.60.134.182
netmask
255.255.255.240
##########################
auto eth0:2
iface eth0:2 inet static
address
200.60.134.183
netmask
255.255.255.240
7 de 104
LL
6HUYLGRU&RUUHR:HE)731DJLRV
auto lo
iface lo inet loopback
#
mapping hotplug
#
script grep
#
map eth0
########################### Servidor Web
auto eth0
iface eth0 inet static
address
192.168.10.2
netmask
255.255.255.240
gateway
192.168.10.1
########################### Servidor Correo
auto eth0:1
iface eth0:1 inet static
address
192.168.10.3
netmask
255.255.255.240
########################### Servidor FTP
auto eth0:2
iface eth0:2 inet static
address
192.168.10.4
netmask
255.255.255.240
8 de 104
LLL
6HUYLGRUGH$UFKLYRV%DVHGH'DWRV
auto lo
iface lo inet loopback
#
mapping hotplug
#
script grep
#
map eth0
########################### Servidor Archivos
auto eth0
iface eth0 inet static
address
172.16.2.1
netmask
255.255.252.0
gateway
172.16.0.1
LY
6HUYLGRU,'6
auto lo
iface lo inet loopback
#
mapping hotplug
#
script grep
#
map eth0
########################### Servidor IDS
auto eth0
iface eth0 inet static
address
172.16.2.13
netmask
255.255.252.0
gateway
172.16.0.1
9 de 104
(O6LVWHPD2SHUDWLYR*18'HELDQ/LQX[
$
4XpHV'HELDQ"
El Proyecto Debian es una asociacin de personas que han hecho causa comn
para crear un sistema operativo (SO) libre. Este sistema operativo se llama
un
microncleo
(como
Mach)
para
implementar
las
distintas
10 de 104
%
,QIRUPDFLyQGHYHUVLyQVREUH'HELDQ(WFK
Debian GNU/Linux 4.0r3 se public el 17 de febrero de 2008. La publicacin
incluy muchos cambios importantes descritos en nuestra nota de prensa y las
notas de publicacin.
Para ver e instalar Debian GNU/Linux, vaya al manual en lnea de la Gua de
instalacin en la siguiente direccin web:
http://www.debian.org/releases/stable/i386/
&
4XpVLJQLILFDOLEUH"R4XpTXLHUHQGHFLUFRQ6RIWZDUH/LEUH"
En febrero de 1998 un grupo se propuso reemplazar el trmino "Software Libre"
(N. del T.: "Free Software") por "Software Abierto" (N. del T.: "Open Software").
Como se aclarar en la discusin siguiente, ambos se refieren esencialmente a lo
mismo.
Muchas personas nuevas en el software libre se hallan confundidas debido a que
la palabra "libre" en el trmino "software libre" no es usado en la manera que ellos
esperan. Para ellos libre significa "sin coste ninguno". Un diccionario ingls lista al
menos veinte significados diferentes para "libre". Slo uno de ellos es "sin coste
alguno". El resto se refiere a la libertad y a la falta de restricciones. Cuando
El software que es libre slo en el sentido de que usted no necesita pagar para
usarlo es difcilmente libre del todo. Puede estar prohibido que lo pase a otros, y
es casi seguro que se le impida mejorarlo. El software licenciado sin coste es
comnmente un arma en una campaa de mercado para promover un producto
relacionado o para conducir a la quiebra a una compaa ms pequea. No hay
garanta de que seguir siendo libre.
El verdadero software libre siempre ser libre. El software que es colocado en el
dominio pblico puede ser atrapado y puesto en programas no libres. Cualquier
mejora hecha despus se pierde para la sociedad. Para mantenerse libre, el
software debe presentar derechos de autor y estar licenciado.
Para el no entendido, una pieza de software o es libre o no lo es. En la vida real
es mucho ms complicado que esto. Para entender qu tipo de cosas la gente
11 de 104
una
discusin
ms
apropiada
de
los
derechos
de
copia,
vea
http://www.copyright.gov/.
Por supuesto, diferentes circunstancias exigen diferentes licencias. Las
compaas de software buscan proteger sus inversiones de forma que slo
distribuyen software compilado (que no puede ser ledo por las personas) y ponen
muchas restricciones en el uso del software. Los autores de software libre, por
otro lado, estn generalmente buscando alguna combinacin de lo siguiente:
Distribucin del cdigo fuente. Uno de los problemas con la mayor parte
del software comercial es que uno no puede arreglar errores o adaptarlo,
dado que el cdigo fuente no est disponible. Al mismo tiempo, la
compaa puede decidir que no va a soportar el hardware que uno utiliza.
Muchas licencias libres obligan a la distribucin del cdigo fuente. Esto
protege al usuario permitindole adaptar el software a sus necesidades.
Esto tambin tiene otras derivaciones que sern discutidas ms adelante.
12 de 104
Mucha gente escribe sus propias licencias. Esto no se recomienda dado que
escribir una licencia que hace lo que uno quiera que haga implica temas muy
sutiles. Muy a menudo las palabras usadas son ambiguas o se crean condiciones
que pueden entrar en conflicto entre si. Escribir una licencia que se sostuviera
ante un tribunal es an ms difcil. Afortunadamente, hay algunas licencias ya
escritas que posiblemente hagan lo que usted quiera.
Tres de las licencias ms usadas son:
La Licencia Pblica General GNU (GPL). Una buena informacin sobre las
licencias software y una copia de la licencia se puede encontrar en el sitio
web de GNU. Esta es la licencia libre ms comnmente utilizada en el
mundo.
Licencia Artstica.
Usted puede hacer tantas copias del software como quiera y drselas a
quines quiera (redistribucin libre o abierta).
Este ltimo punto, que permite que el software sea vendido por dinero parece que
va en contra de toda la idea del software libre. Realmente es uno de sus fuertes.
Dado que la licencia permite la redistribucin libre, cualquier persona que consiga
una copia puede distribuirla por s misma. Pueden incluso intentar venderla. En la
prctica, no cuesta casi dinero hacer copias electrnicas del software. La oferta y
la demanda mantendrn el coste bajo. Si es conveniente para una pieza grande
de software o un software agregado su distribucin en algn medio, como un CD,
el vendedor es libre para cobrar lo que quiera. Sin embargo, si el margen de
beneficios es demasiado alto, entrarn nuevos vendedores en el mercado y la
competencia har que los precios disminuyan. Como resultado usted puede
comprar una distribucin de Debian en varios CD's por unos pocos dlares.
13 de 104
14 de 104
(O6HUYLFLRGH0HQVDMHUtD
$
2SHQILUH
Openfire es un sistema de mensajeria instantanea GPL hecho en java y que
utiliza el protocolo jabber con el que se puede administrar a los usuarios de
mensajeria instantnea de la UNAS, compartir archivos, auditar mensajes,
mensajes offline, mensajes broadcast, grupos, etc y adems contiene plugins
gratuitos con diferentes funciones extras.
%
5HTXHULPLHQWRV\3UHLQVWDODFLyQGH2SHQILUH
Requerimientos para la Instalacin
PHP5
Apache2
El Entorno
Dominio: GSLDUREDVHWHOHFRPFL
&
,QVWDODFLyQGHO6HUYLFLRGH0HQVDMHULD
L
'HVFDUJDGHSDTXHWHV
Ya que estos componentes son externos, indicaremos los enlaces para
descargarlos en caso de una nueva instalacin.
15 de 104
LL
'HVFRPSULPLHQGR2SHQILUH
!" $#&%$#&%'#&%)((+*
+,!" -!.
LLL
,QVWDODQGROD9HUVLRQGH-DYD-5(
En Debian Etch Java version is 1.4; tienes que agregar non-free repositories y
hacer el update a los mirrors
/0,1
!.2
(+3
OK
OK
YES
:,
16 de 104
LY
,QVWDODFLyQGHOD%DVHGH'DWRVSDUD2SHQILUH
Install y crea en tu MySQL version 4.1.18 and later, or 5.x and later.
+,;<
3
4=,>1?2
@?$A
!"
Y
(MHFXFLyQGH2SHQILUH
4
!B=
:" C
7(!
:"
Language selection
Server settings
Database settings
Profile settings
Admin account
17 de 104
YL
6HOHFFLyQGHOHQJXDMH
YLL
&RQILJXUDFLRQGHO6HUYLGRU
18 de 104
YLLL &RQILJXUDFLRQGHOD%DVHGH'DWRV
19 de 104
a este valor:
host: localhost
database-name: openfire
Para obtener
jdbc: mysql://localhost:3306/openfire.
L[
&RQILJXUDFLRQGHORV3HUILOHV
20 de 104
[
&XHQWD$GPLQ
Clic en &RQHFWDUDLQWHUID]GHDGPLQLVWUDFLyQ
21 de 104
[L
6XPDULRGH&RQILJXUDFLRQGH2SHQILUH6HUYHU
Solo el usuario autenticado puede administrar la consola
22 de 104
[LL
,QVWDODQGR3OXJLQV
23 de 104
Dos
(02)
tipos
de
plug-ins
estn
disponibles.
Personalmente
[LLL ,QVWDODQGR6SDUN
La instalacin es hecha en el cliente windows
1- Double-click en el archivo .exe:
24 de 104
25 de 104
26 de 104
27 de 104
[LY &UHDUXQDQXHYDFXHQWDFRQ6SDUN
Click en "Account":
28 de 104
29 de 104
Click en OK
30 de 104
31 de 104
(O6HUYLFLRGH%DVHGH'DWRV
$
0\64/
MySQL es un servidor de base de datos popular que tiene distintas aplicaciones.
SQL son las iniciales de Lenguaje de Consulta Estructurado (en ingls,
(S)tructured (Q)uery (L)anguage), que es el lenguaje que utiliza MySQL para
comunicarse con otros programas. Sobre ello, MySQL tiene sus propias funciones
SQL extendidas que le aaden funcionalidad. En esta seccin veremos como
realizar una instalacin inicial, configurar la base de datos y las tablas, y como
crear nuevos usuarios. Empecemos con la instalacin.
%
,QVWDODFLyQGH0\64/
@!.24 D
E@,;<
3
@!.24 5
33F,;<
369(
G
(:4,;<
3
5HJI 6
E*-4
!" 4
;KML ,NO,7
-4
P(((
HRQ*F,;<34MLS
,;<3,;T(O
PU(((WVXKY
LSI =,N3
@
6'"
4D
13@2
D
>
ZP
/2
C7,;<34,>[62-6=E\3
3E
]"
4M^ 6_N
4`^
a
,;<
3\6260E13
3E
6_
b >
c"
4)d
e
3
, KKOE Jf7;Q
ghG,
)(ji=,,4
4
OElkFUm+*)(
n 2Xf7;Q
gh\
K45\o -
Tdpo(q(!r9
s ;O" M^ E 3tBkN^u
v^0mtEw^]
/E
3!x(
,;<
3z
32 de 104
&
&RQILJXUDQGRODEDVHGHGDWRV
Hemos ingresado al sistema y tenemos el cursor mysql en pantalla. Primero,
dmosle una mirada a las bases de datos que tenemos actualmente. Para hacer
eso, utilizamos el comando SHOW DATABASES.
,;<
3zQ{| e/}~)s+~~ Q b Q7k
6666
666
666
} C
6666
666
666
,;<
3
r5
\ Ltq(=q@
P
Importante: Por favor recordar que los comando MySQL deben terminar con un punto y coma (;)
Aunque ya existe una base de datos de prueba (test), vamos a crear la nuestra.
Las bases de son creadas utilizando el comando CREATE DATABASE.
Crearemos una llamada "gentoo".
,;<
3z5iI b~"sOb}~)s:~~ Q b
* >
k
g2
;K|G
4ML$q(q-
P
La salida nos permite ver que el comando ha sido ejecutado sin ningn error. En
este caso, 1 fila ha sido modificada. Esto es una referencia a la base de datos
principal de mysql, que contiene una lista de todas las bases de datos. No
necesitars preocuparte mucho acerca de los detalles tcnicos. El ltimo nmero
se refiere a qu tan rpido se ha ejecutado la consulta. Podemos verificar que
nuestra base de datos ha sido creada utilizando nuevamente el comando SHOW
DATABASES.
33 de 104
,;<
3zQ{| e/}~)s+~~ Q b Q7k
6666
666
666
} C
6666
666
666
,;<
3
*
6666
666
666
%
\ Ltq(=q
q/
P
Como podemos ver, nuestra base de datos ha sido creada. Para poder trabajar
con ella creando nuevas tablas, necesitamos seleccionarla como nuestra base de
datos actual. Esto lo podemos conseguir utilizando el comando USE. El comando
USE recibe como argumento el nombre de la base de datos que quiere convertir
en actual. Otra opcin es definirla en la linea de comandos justo luego de la
opcin -D. Continuemos y cambimonos a la base de datos gentoo.
,;<
3z\Q b
* >k
} C
5
E*
4
34 de 104
'
7UDEDMDQGRFRQWDEODVHQ0\64/
L
&UHDQGRXQDWDEOD
En la estructura de MySQL, hay bases de datos, tablas, registros y campos. Las
bases de datos reunen tablas, las tablas agrupan registros, estos a su vez
almacenan campos, que son los encargados de conservar la informacin real.
Esta estructura permite a los usuarios seleccionar cmo quieren acceder a su
informacin. Hasta el momento hemos trabajado con bases de datos, ahora
enfoqumonos en las tablas. Antes de nada, las tablas pueden ser mostradas de
la
misma
manera
que
las
bases
de
datos
utilizando
el
comando
Esto significa que tenemos que crear algunas tablas. Para poder hacer esto,
utilizamos el comando CREATE TABLE. Sin embargo, este comando es un poco
distinto del simple CREATE DATABASE. Este comando recibe una lista de
parmetros. La forma es la siguiente:
iI b~)s0b[s+~ h b V'=,C $#&4 $#&3$#`C3YLV',C $#T4 3'#y
=,NY
V$"t#T4 3'#y
=,"Y&L=V=,7ZYPPk
35 de 104
hay una explicacin un poco ms tcnica que el anterior sitio te dar. Ahora que
sabemos como vamos a crear la tabla, hagmoslo.
,;<
3z5iI b~"sOb[s+~ h b
4
3!" vL, 5 ~ Ii{ ~ IwL_rPp =,3
Parece que nuestra tabla ha sido creada sin problemas. Revismoslo con el
comando SHOW TABLES:
,;<
3zQ{| e\s:~ h b Q7k
6666
666
666
6666
666
6
s C3
$#y+#&*
6666
666
666
6666
666
6
4
3:"
6666
666
666
6666
666
6
D1 L$q7(=qq@
P
S, esa es nuestra tabla. Sin embargo, parece no tener ninguna informacin sobre
los tipos de campos que hemos configurado. Para ello, utilizamos el comando
DESCRIBE (o si prefieres comandos ms cortos DESC), que toma como
argumento el nombre de la tabla. Veamos que informacin nos da de la tabla
developers.
,;<
3z
4
3!"
k
6666
666 66
6666
666
666
66 6
666
66 6666
6 6
666
6666
6 6
666
666
34
s ;O"
23
3
;
}
23
b >
6666
666 66
6666
666
666
66 6
666
66 6666
6 6
666
6666
6 6
666
666
=,7
E
.L'rP
nOb Q
h
h
=,3
E
.L'rP
nOb Q
h
h
8C
E
.L'rP
nOb Q
h
h
6666
666 66
6666
666
666
66 6
666
66 6666
6 6
666
6666
6 6
666
666
%
\ Ltq(=q
q/
P
36 de 104
Esta salida muestra los distintos campos y sus tipos. Tambin muestra algunos
atributos extras que estn ms all del mbito de esta gua. Sintete libre de
consultar el Manual de Referencia MySQL para mayor informacin. Ahora tenemos
una tabla con la cual trabajar. Sigamos adelante y problmosla.
LL
3REODQGRQXHVWUDEDVHGHGDWRV0\64/
Se puebla una tabla (o se aade informacin) a travs del comando INSERT. Al
igual que el comando CREATE TABLE, posee un formato especfico:
Q b I s
s |-4
3:"
~ h b QBL^ Q=,>OEw^:^ 8
=,>0E* >
)(:*.^:
g2
;K|G
4ML$q(qG
P
LQpD
3
4
54
3
D
3
20,-D
-4
D*
D2\
*
=,N3 P
,;<
3z\ Q b I s
} B^_Pk
s |-4
3:"
L 8C)j, P ~ h b Q`L^22
4B^:^
g2
;K|G
4ML$q(q
P
E
} 8E4
* )(+
*N
*
37 de 104
iE
e E
E
E * >)(+
*4
2O,7 >
Q
=,KQ,>0E=,7=,>0E* >
)(:*=,47o
.0 +
Debes estar seguro de la informacin que maneja el archivo. Es muy peligroso utilizar LOAD
Ahora, el comando LOAD DATA tiene una ligeramente larga definicin, pero
utilizaremos su forma ms simple.
h| ~}}~)s+~
h|i ~ h1 h b
^S
2
3
EB^ s |
s+~ h b
C3
h|i ~ h\ h b
^$
4
(O>N^ s |
s:~ h b
4
3!" k
g2
;K|p%
-
4ML$q7(=qq@
P
I
4
dj%
}
3
4)dpqQ$
" 4"dFq
e *dpq
.0 +
Si ocurre algn comportamiento extrao, asegrate que tus campos estn separado por
tabulaciones. Si pegaste la informacin desde otra fuente, puede que se hayan convertido tus tabs en espacios.
,;<
3\6260E13
3E
6_<
33
Al igual que en LOAD DATA debes estar seguro de lo que dice el archivo sqlfile.
38 de 104
,;<
3zD2
<
33 7k
Si ves alguna aplicacin web que te pide ejecutar un archivo sql, los dos
comandos anteriores pueden ser utilizados para completar esta tarea. Tenemos
nuestra tabla configurada, entonces cmo vemos nuestros campos? Esto lo
hacemos buscando en nuestra tabla utilizando consultas.
LLL
([SORUDQGRODVWDEODV0\64/PHGLDQWHFRQVXOWDV
Las consultas son una de las ms importantes caractersticas de cualquier base
de datos SQL. Nos ayudan a convertir los datos de nuestras tablas en
informacin til. La mayora de las consultas se hacen a travs del comando
SELECT. El comando SELECT es muy complejo, pero nosotros vamos a trabajar
en esta seccin con tres formas principales.
LQ
3
\
4
3-
4
4 52KC3P
Q b h b i s
I|tfC3k
LQ
3
2 >4
tN
K21C3P
Q b h b i s
I|tfC3
e { b I b
,"
3
k
LQ
3
,"- t"
P
Q b h b i s
I|!fC3V e { b I b
,"
3
Yk
6666
666
666
666 666
666
6666
666
666
6666
666 66
6666
666
666
6666
=,7
=,73
8C
6666
666
666
666 666
666
6666
666
666
6666
666 66
6666
666
666
6666
Q=,OE
8
0,OE* "(:
*
E
8E4
* >)(+
*
N
*
E
E * >)(:*
4
2O,7 >
Q=,Q=,OE
,4o
hh
|
22
4@8C
iE
}
e E
}
3
E
6666
666
666
666 666
666
6666
666
666
6666
666 66
6666
666
666
6666
39 de 104
9
\ Ltq(=q
q/
P
Podemos ver los datos que ingresamos mediante INSERT y los que insertamos
utilizando LOAD DATA. Ahora, digamos que slo queremos ver el registro de
Chris White. Podemos hacerlo con la segunda forma tal y como se muestra a
continuacin.
,;<
3zQ b h b i s
e { b I b
=,7 -^_iE
e E B^:k
6666
666
666
666 666
666
6666
666
666
6666
666 66
6666
666
666
666
=,7
=,73
8C
6666
666
666
666 666
666
6666
666
666
6666
666 66
6666
666
666
666
iE
e E
E
E * >)(:*
4
2O,7 >
6666
666
666
666 666
666
6666
666
666
6666
666 66
6666
666
666
666
D1 L$q7(=q-
P
,3+8C
I|tf4
3:"
e { b I b
, M^_iE
e E `^!k
6666
666
666
6666
666
666
666 666
666
6666
666
66
=,3
8C
6666
666
666
6666
666
666
666 666
666
6666
666
66
EE * >
)(:*
6666
666
666
6666
666
666
666 666
666
6666
666
66
D1 L$q7(=qo@
P
40 de 104
(
3ULYLOHJLRVHQ0\64/
L
'HILQLHQGRSULYLOHJLRVFRQ*5$17
Los privilegios son qu tipo de acceso tienen los usuarios a las bases de datos,
tablas y esencialmente a todo. En este preciso momento en la base de datos
gentoo, la cuenta de super usuario MySQL es la nica que puede acceder a ella,
dados sus permisos. Ahora, creemos dos usuarios bastante genricos, guest y
admin, quienes accedern a la base de datos gentoo y trabajarn con la
informacin en ella. La cuenta guest ser restringida. Todo lo que ser capaz de
hacer es realizar consultas para obtener informacin de la base de datos, y eso
es todo. admin tendr el mismo control que el super usuario pero slo para la
base de datos gentoo (no la base de datos mysql principal). Antes de que
empecemos, veamos una forma bastante simplificada del comando GRANT.
I ~ s V T
3
*
Y-|
^V "
4Yy^!k
4C
"(H
s |^V+2
Y&^$&^=V$E
Y&^ }b s b
}7n
=
GRANT es considerada la manera de crear usuarios. Versiones posteriores de MySQL, sin embargo,
Primero tenemos los privilegios que deseamos asignar. Con lo que hemos
aprendido hasta ahora, aqu estn algunos de los privilegios que puedes asignar:
=
Si ests ejecutando MySQL para comunicar data a una aplicacin web, los privilegios de CREATE,
SELECT, INSERT (discutido aqu), DELETE y UPDATE (para mayor informacin puedes buscar en el Manual de
Referencia MySQL - Sintaxis de GRANT y REVOKE) son probablemente los nicos que necesitars. Mucha
gente comete el error de entregar todos los permisos cuando en realidad no es necesario. Revisa con los
desarrolladores de las aplicaciones para ver si dichos permisos causarn problemas con la operacin general.
Para nuestro usuario admin, utilizaremos ALL. Para el usuario guest, SELECT
ser suficiente para un acceso de slo lectura. database es la base de datos en la
cual deseamos el usuario tenga los permisos. En este ejemplo, gentoo es nuestra
41 de 104
Ahora que hemos definido los usuarios, probmoslos. Primero salimos de mysql
ejecutando el comando quit en el cursor:
,;<
3z<2
LL
3UREDQGRORVSHUPLVRVGHORVXVXDULRV
Ahora debemos intentar ingresar con nuestro usuario guest. Actualmente, el
usuario guest solamente tiene los privilegios SELECT. Esto bsicamente significa
que es capaz de buscar y nada ms. Ingresemos con la cuenta guest.
a
,;<
3\62*
2
-6=E\3
3E
-6'
b >
c"
4)d
e
3
, KKOE Jf7;Q
ghG,
)(ji=,,4
4
OElkFUm+*)(
n 2Xf7;Q
gh\
K45K- -
Tdpo(q(!r9
s ;O" M^ E 3tBkN^u
v^0mtEw^]
/E
3!x(
,;<
3z
* >k
42 de 104
} C
5
E*
4
ALt @ ~ Ii{ ~ IwLSrqPF
C
D ~ Ii{ ~ IwLSrP
Pk
b II|I1q
ood ~
4 42
d[^*2
3
3E
N^4
C
M^* >B^
Como se puede ver, esta funcin fall, dado que nuestro usuario no tiene los
accesos necesarios. Sin embargo, un acceso que s posee es el de SELECT.
Probmoslo:
,;<
3zQ b h b i s
6666
666
666
666 666
666
6666
666
666
6666
666 66
6666
666
666
6666
=,7
=,73
8C
6666
666
666
666 666
666
6666
666
666
6666
666 66
6666
666
666
6666
Q=,OE
8
0,OE* "(:
*
E
8E4
* >)(+
*
N
*
E
E * >)(:*
4
2O,7 >
Q=,Q=,OE
,4o
hh
|
22
4@8C
iE
}
e E
}
3
E
6666
666
666
666 666
666
6666
666
666
6666
666 66
6666
666
666
6666
9
\ Ltq(=q
q/
P
El comando tuvo xito, y con ello tenemos una vista parcial de lo que se puede
hacer con los permisos de los usuarios. Nosotros tambin, sin embargo, hemos
creado una cuenta admin. Esta se cre con la intencin de mostrar que incluso
los usuarios con todos los permisos pueden tener limitaciones. Probemos esta
cuenta ingresando como admin.
,;<
3z<2
43 de 104
;
a
,;<
3\62-4=,>6=E\3
3E
-6'
b >
c"
4)d
e
3
, KKOE Jf7;Q
ghG,
)(ji=,,4
4
OElkFUm+*)(
n 2Xf7;Q
gh\
K45[/ -
Tdpo(q(!r9
s ;O" M^ E 3tBkN^u
v^0mtEw^]
/E
3!x(
,;<
3z
Para comenzar, intentaremos crear una nueva base de datos con nuestro usuario
admin. Este usuario admin tendr accesos similares a la cuenta super usuario de
MySQL, y ser capaz de realizar cualquier tipo de modificacin que desee sobre
la base de datos gentoo. A continuacin probaremos el acceso del usuario a la
base de datos principal de MySQL. Recuerda que anteriormente slo definimos
permisos para una base de datos especfica.
,;<
3z5iI b~"sOb}~)s:~~ Q b
* >
r7k
I I|I1q
ood ~
4 42
d[^
4=,>3
3E
N^4
C
b
^_* >r^
44 de 104
,;<
3z\Q b
* >k
} C
5
E*
4
,;<
3z\ Q b I s s |-4
3:"
~ h b QBL^ C1QO,
,.^!
^ CCO,,7* "(:
*.^!^ >;OEw^_Pk
g2
;K|G
4ML$q(q-
P
El usuario admin puede acceder a la base de datos como desee. Algunas veces
se necesita retirar algunos permisos de los usuarios. Esto puede suceder debido
a casos que van desde un usuario problemtico hasta un empleado retirado.
Veamos como desactivar permisos de usuarios con el comando REVOKE.
LLL
5HWLUDQGRSHUPLVRVGHXVXDULRVFRQHOFRPDQGR5(92.(
El comando REVOKE nos permite denegar accesos a los usuarios. Se puede
negar completamente el acceso, o alguno especfico. De hecho, su formato es
muy similar a GRANT.
N
-5
"jt=O
&'y='
y!
@
- 7@
=
En este caso, el acceso del usuario es simple, as que revocar sus permisos por cada base de datos no es
un problema. Sin embargo, en casos ms extensos, es probable que prefieras utilizar *.* en vez de gentoo.* para
poder eliminar el acceso del usuario a todas las bases de datos.
45 de 104
KKOJ
)! "
#
OlF%$+)
&X
K5('D-
)+*,.-*
/ "M tBNu
v0$tw1
/
!x2/ "M0$0 yc3 \0G7"
LY
(OLPLQDQGRFXHQWDVFRQ'(/(7(
La tabla de usuarios de MySQL contiene a todos los usuarios e informacin sobre
ellos. Asegrate de ingresar como super usuario, luego utiliza la base de datos
principal de MySQL.
4
#
46 de 104
A /BC
D D
E /
Fy,GF
D D
E
HFT
E
E ,7
E
E
FN
E
D D
I
:\JK/
La tabla user es la que estamos buscando. Sin embargo, la tabla usuario contiene
30 campos distintos, hacindola muy difcil de leer. Para poder hacer las cosas
ms simples, vamos a utilizar la tercera versin del comando SELECT. Los
campos que necesitamos son Host y User.
7/ A
4
-tA
# A
L4
MM_
N!
D D D
E A
E 4
D D D
E
E
D D D
5D,1J7@
B!
47 de 104
eliminar el registro del usuario guest de la tabla user, con lo que lograremos
eliminar exitosamente la cuenta de usuario guest. Ahora, hagmoslo:
@
/O5tA
# A
L4
"M
T!
25
,POF
_Q
4 A(R 7SS:T N
"U
N
P4 A3R 7SST
@
- 7@
C
=\
'
>
c"
65
*V
89
"#
[
N;4
:c"
&0
48 de 104
(O6HUYLFLR:HE
$
$SDFKH
El servidor HTTP Apache es un software (libre) servidor HTTP de cdigo abierto
para plataformas Unix (BSD, GNU/Linux, etc.), Windows, Macintosh y otras, que
implementa el protocolo HTTP/1.1[1] y la nocin de sitio virtual. Cuando comenz
su desarrollo en 1995 se bas inicialmente en cdigo del popular NCSA HTTPd
1.3, pero ms tarde fue reescrito por completo. Su nombre se debe a que
Behelendorf eligi ese nombre porque quera que tuviese la connotacin de algo
que es firme y enrgico pero no agresivo, y la tribu Apache fue la ltima en
rendirse al que pronto se convertira en gobierno de EEUU, y en esos momentos
la preocupacin de su grupo era que llegasen las empresas y "civilizasen" el
paisaje que haban creado los primeros ingenieros de internet. Adems Apache
consista solamente en un conjunto de parches a aplicar al servidor de NCSA. La
%
,QVWDODQGRDSDFKHFRPRSDUWHGH/$033
La instalacin de apache como motor para el Servicio Web es bastante sencilla
por lo que el personal de sistemas de la UNAS no debera tener problemas para
levantar un nuevo servidor.
En esta seccin vamos a complementar la instalacin de apache con otros
componentes que proporcionaran elementos necesarios para alojar sitios web
profesionales.
Para
instalar
LAMPP
(Linux-Apache-MySQL-PHP-PHPmyadmin),
debemos
49 de 104
50 de 104
&
)LFKHURVDWHQHUHQFXHQWD
La configuracin de parmetros principales del Servidor Apache se encuentran
en:
W
Y Y !"
- Y >
")0 P
Y Y !"
- Y "0 P
Y Y !"
- Y
Y
51 de 104
(O6HUYLGRUGH&RUUHRV
$
3RVWIL[
L
6SDP$VVDVVLQ
Es el programa que realiza el anlisis de contenido de los mensajes a fin de
encontrar patrones predeterminados y caractersticos de los mensajes spam. A
cada patrn coincidente encontrado SpamAssassin le asigna un puntaje
predefinido de tal forma que al final del analisis, la suma de puntajes es
comparada con un valor limite (spam store). Si la suma sobrepasa el lmite
establecido, entonces el mensaje es considerado spam (spam action), se decidir
el destino final de dicho mensaje.
Cabe mencionar que dicho anlisis es realizado en todo el mensaje, tanto
entrante como saliente, incluyendo el titulo (subject test), encabezados (header
test), cuerpo (body test) y enlaces (URI test).
Los patrones y puntajes vienen predeterminados por el programa SpamAssassin;
sin embargo, es posible personalizarlos como se vera mas adelante en la seccin
de Administracin.
LL
:HE0DLO
El servicio WebMail tiene la funcionalidad de permitir el acceso remoto de los
usuarios desde cualquier lugar del mundo, el cual se conectara internamente con
el servidor de correo actual va el protocolo IMAP, mantenindose siempre
centralizado y unificado los datos de los usuarios, en este WebMail se podr
enviar y recibir correos adems de aprovechar lasa funciones de AntiSPAM.
52 de 104
%
,QVWDODFLyQGHOVRIWZDUHQHFHVDULR
Lo primero que haremos es instalar los mdulos necesarios
W !.
/:
c"
,,[R",,[9
=
-D
-O:\=
"-7
=7\cN t"
,\ #
'"!]
!
0
Reconfigure Postfix
W !
<P P
X"
,,[
L
&RQILJXUDFLyQGH3RVWIL[
Configuramos opciones principales del MTA postfix
W "
" Pv NF&
HFy
HF& ,(M`
W "
" P v NF&
HF&0BFT"M .
W "
" P v NF&
HFy
FT:.M B
W "
" P v "<BFy
FTOBF^
">M
.
W "
" P v N&
F
$&
_&
F
M
N
_&
F
T
F 0
9 " _F
"
<
`
_F.,OBF&
,"w
W "
" P v_:
ay
F ,
D
M
B
W
M )
:<.F 0bJ
OBc Y Y "
,
:[ Y
Y _")0
W
M
G&
F
N,\
:w
d Y Y ",
:[ Y
Y _")0 P
W
< Y Y "
,
:[ Y
W Y Y ",
:[ Y
Y
W !"
"
6
\ "
Y " Y G N)K
< 5,-*
W
I @
N)K
<
W !"
0
< ""K
< / _")?
W !"
Q[PVP'# 6
#\ I VP;
,\
N)?
(
< ""K
<
""?
W !"
:\
N)K
< / _").
< O,
"
.
W
N)K
< O:
7 BD ").
<
W !"
0
0[PVP'# >
[
\Fe 6
< Q
"
< "
N ;\ I V
NF`HFTOGFT M`
Fy F`
M .
M
.
N Fy F`
F`
H F Fy
HFTM
B
M Y "
Y N
,
,[ Y Y _").<
N F`H Fb< Ff
M Y
Y "
:
,
[ Y
Y ""? N
N F`H Fe
a F)
M Y
Y "
,
,
[ Y
Y
N
N F`H Fe;
M5y
N F`H F&
F)
M
B
N F`H F&
GFe
F +
M(\ I .
N F`H F&
53 de 104
W "
" PvtHFy Fy ;M
Y
Y
N
6M
? M
)O,
+ "B
LL
&RQILJXUDFLyQGH6DVODXWKG
Configuramos opciones principales de SASLAUTHD. Lo primero es configurar el
arranque automtico.
W
Y Y
Y
O
MECHANISMS="pam"
LLL
&RQILJXUDFLyQGH6SDPDVVDVVLQ
Ahora configuramos las opciones de spamassassin
W
Y Y
Y !"
:
# /etc/default/spamassassin
# Habilitamos spamassassin para que se active el filtro al inicio
ENABLED=1
# SpamAssassin usa un modelo preforking, Se puede definir el numero
# maximo de conexiones concurrentes que puede atender entre otros
# para mas opciones ver el man
OPTIONS="--create-prefs --max-children 5 --helper-home-dir"
# Pid file
PIDFILE="/var/run/spamd.pid"
54 de 104
Y Y Y !"
: Y
)? "
################################
# Valores globales por defecto #
################################
# Visualizacion de reporte
report_safe
0
# Puntaje requerido para que el correo sea considerado Spam:
required_hits
5.0
# En caso de querer permitir correos solo lenguajes especiales
ok_locales
all
*@unas.edu.pe
*@pucp.edu.pe
ccardenas@leafar.com.pe
55 de 104
Para integrar el filtro de correos con el servicio MTA (postfix) tenemos que hacer
unos pasos adicionales.
W
Y Y "
,:[ Y
?
inet
smtpd -o content_filter=filtro: -o
disable_dns_lookups=yes
Y Y "
,:[ Y
#!/bin/sh
/usr/bin/spamc | /usr/sbin/sendmail -i "$@"
exit $?
Le damos permisos
W
%OOO Y " Y N
:,[ Y
Le damos permisos
W
%OOO Y " Y N
:,[ Y
56 de 104
!"
Lo nico que nos queda recordar es que debemos crear un archivo para indicarle
a Postfix a donde enviar los correos marcados. Para el caso de la UNAS estos se
reenvian al buzon del usuario spam.
W "
"(gih
Fe :<M5
"[OZ Y " Y ",,[ Y
/^X-Spam-Status: Yes/
REDIRECT spam@unas.edu.pe
LY
&RQILJXUDFLyQGH6TXLUUHO0DLO
Cambiamos al directorio /usr/share/squirrelmail/config/ y ejecutamos el guin de
configuracin que se encuentra en el interior
W
W
Y
Y
Y
Y " Y
Y " N
57 de 104
Organization Preferences
2.
Server Settings
3.
Folder Defaults
4.
General Options
5.
Themes
6.
7.
8.
Plugins
9.
Database
D.
C.
Turn color on
Save data
Quit
Command >>
Organization Name
2.
Organization Logo
: ../images/logo.jpg
3.
4.
Organization Title
5.
Signout Page
6.
Default Language
: es_ES
7.
Top Frame
: _top
8.
Provider link
: http://www.unas.edu.pe/
9.
Provider name
: UNAS
C.
Turn color on
Save data
Quit
Command >>
58 de 104
Domain
: unas.edu.pe
2.
Invert Time
: false
3.
Sendmail or SMTP
: SMTP
: localhost:143 (uw)
A.
B.
C.
Turn color on
Save data
Quit
Command >>
59 de 104
C.
Turn color on
Save data
Quit
Command >>
:Lg
Y
Y
Y
Y Y Y ,
Y
Ahora para acceder al webmail solo tenemos que teclear en nuestro navegador:
http://www.unas.edu.pe/webmail
60 de 104
&
'DQGRGHDOWD\EDMDDXVXDULRV
Para dar de alta creamos una cuenta de usuario.
W k
`
,
=lm``R
,
2
tnlo
`
B#o5
*"U
,
2
D
=lm
`
B;H5
:-;
O1$plm``R
,
/
l Y Y
`
BF
! :
;
l Y Y
< .F
>
Q
34 7S0F
q "
NQ
(=4 7S0F
q "
N
r
sP
t
"
U (
>
D,P
?sXuG\
5
cN
`
S,>
"U
2
7F
XN
"
@N0/
JN
cN
,
(
N09v
`
sbw
@
?s)uG
O9
/
sx9
"
1
` 09
/
sx9
"
(
ON
ON
y9z 3
D:
?sXu?)D
{ Y 7
&
BF
A
"
'
&RQWURODQGRORVVHUYLFLRV
Iniciamos los servicios de postfix, courier, saslauthd y spamassassin
WY Y ,+ Y ",,[1
WY Y ,+ Y tN
,1
WY Y ,+ Y O
61 de 104
62 de 104
(O6HUYLGRU931
$
,SVHF
Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI.
Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y
SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace
que IPsec sea ms flexible, ya que puede ser utilizado para proteger protocolos
de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte ms
usados. IPsec tiene una ventaja sobre SSL y otros mtodos que operan en capas
superiores. Para que una aplicacin pueda usar IPsec no hay que hacer ningn
cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las
aplicaciones tienen que modificar su cdigo.
%
,QVWDODFLyQGH,SVHF
La instalacin se lleva a cabo instalando la aplicacin openswan de la siguiente
manera
W
!./:!"""
&
&RQILJXUDFLyQGHODFRQH[LyQ9315RDG:DUULRUV
Esta conexin se realiza entre el servidor linux VPN y cualquier estacin remota
en cualquier parte del mundo, con el software adecuado, encargado de establecer
el tnel, para enlazarse a la red de la Universidad Agraria de la Selva, esta
configuracin permite que los Locales Compartidos establecer una conexin
privada a la Of. Principal de la UNAS.
63 de 104
L
7RSRORJtD
LL
1HWZRUNLQJ
81$6/RFDO
- eth0
IPADDR=200.60.134.180
# IP publica Server_linux VPN
NETMASK=255.255.255.240 # Mascara de Subred
GATEWAY=200.64.134.177 # Puerta de Enlace (Router Internet)
- eth1
IP=192.168.10.1
NETMASK=255.255.255.0
# IP red DMZ
# Mascara de Subred
64 de 104
6('(65HPRWR
Configuracin IP
65 de 104
LLL
,SVHF
81$6&HQWUDO
W
#Configuracion bsica
#
config setup
interfaces=%defaultroute
plutodebug=none
klipdebug=none
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
#
conn %default
keyingtries=1
aggrmode=no
compress=yes
ikelifetime=240m
keylife=60m
disablearrivalcheck=no
authby=secret
ike="3des-sha-modp1024"
keyexchange=ike
auth=esp
esp="3des-md5"
#
# Conexion VPN
#
conn roadwarrior-net
leftsubnet=192.168.10.0/24
also=roadwarrior
#
# Estos parmetros son estndares
# no redefinirlos
#
conn roadwarrior-net
right=%any
left=%defaultroute
rightsubnet=vhost:%no,%priv
auto=add
pfs=yes
#
include /etc/ipsec.d/examples/no_oe.conf
W
Y Y $N >+
66 de 104
LY
$FWLYDQGRHOIRUZDUGHQHOQXFOHR
W
Y Y 0 P
net.ipv4.ip_forward=1
Y
5HJODVGHOILUHZDOO
W
Y Y
Y
# Conexion a VPN
ACCEPT
ACCEPT
ACCEPT
ACCEPT
ACCEPT
ACCEPT
ACCEPT
ACCEPT
net
net
net
net
$FW
$FW
$FW
$FW
W
Y Y
Y ,
ipsec
net
W
vpn
W
vpn
0.0.0.0/0
$FW
$FW
$FW
$FW
net
net
net
net
udp
udp
udp
udp
udp
udp
udp
udp
50
51
500
4500
50
51
500
4500
vpn
Y Y
Y
eth0:0.0.0.0/0
Y Y
Y U
ipv4
67 de 104
YL
&RQILJXUDFLyQGHFOLHQWHVUHPRWRV
68 de 104
6HUYLGRUGH$UFKLYRV
$
6DPED
El servidor HTTP Apache es un software (libre) servidor HTTP de cdigo abierto
para plataformas Unix (BSD, GNU/Linux, etc.), Windows, Macintosh y otras, que
implementa el protocolo HTTP/1.1[1] y la nocin de sitio virtual. Cuando comenz
su desarrollo en 1995 se bas inicialmente en cdigo del popular NCSA HTTPd
1.3, pero ms tarde fue reescrito por completo. Su nombre se debe a que
Behelendorf eligi ese nombre porque quera que tuviese la connotacin de algo
que es firme y enrgico pero no agresivo, y la tribu Apache fue la ltima en
rendirse al que pronto se convertira en gobierno de EEUU, y en esos momentos
la preocupacin de su grupo era que llegasen las empresas y "civilizasen" el
paisaje que haban creado los primeros ingenieros de internet. Adems Apache
consista solamente en un conjunto de parches a aplicar al servidor de NCSA. La
%
,QVWDODQGR6DPED
Instalando los paquetes
W !.@,
=7
$N "-5 P" "
&
&RQILJXUDFLyQGH6DPED
W
Y Y Y &0
69 de 104
Para que los usuarios samba puedan loguearse en el Servidor Samba estos
deben tener cuenta en el sistema Linux.
Ahora para habilitar una carpeta personal por usuario creado, entonces en la
seccion >KRPHV@ cambiar ZULWDEOH QR a:
writable = yes
W
< (' Y Y
Y
W >50 Y Y
Y
Y
W
\ D [
= D :[N Y Y
Y
Y
'
$GLFLRQDQGR\DGPLQLVWUDQGRXVXDULRV
Los usuarios de la UNAS que usaran el servidor de archivos, seran aadidos
usando los comandos smbpasswd de samba. Para nuetro ejemplo aadiremos un
70 de 104
:T53g
Y : Y
,Lg
Y Y t"
U
(
(OLPLQDQGRXVXDULRV
Si se desea eliminar un usuario de la base de datos de samba, que para nuestro
71 de 104
(O)LUHZDOO
$
)LUHZDOO
Un cortafuegos (o firewall en ingls), es un elemento de hardware o software
utilizado en una red de computadoras para controlar las comunicaciones,
permitindolas o prohibindolas segn las polticas de red que haya definido la
organizacin responsable de la red. Su modo de funcionar es indicado por la
recomendacin RFC 2979, que define las caractersticas de comportamiento y
requerimientos de interoperabilidad. La ubicacin habitual de un cortafuegos es el
punto de conexin de la red interna de la organizacin con la red exterior, que
normalmente es Internet; de este modo se protege la red interna de intentos de
acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades
de los sistemas de la red interna.
Tambin es frecuente conectar al cortafuegos una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que
deben permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado aade proteccin a una instalacin
informtica, pero en ningn caso debe considerarse como suficiente. La
Seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin
L
&RUWDIXHJRVGHFDSDGHUHGRGHILOWUDGRGHSDTXHWHV
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de
paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de
los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo
de cortafuegos se permiten filtrados segn campos de nivel de transporte (nivel 4)
como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la
direccin MAC.
72 de 104
LL
&RUWDIXHJRVGHFDSDGHDSOLFDFLyQ
Trabaja en el nivel de aplicacin (nivel 7) de manera que los filtrados se pueden
adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si
se trata de trfico HTTP se pueden realizar filtrados segn la URL a la que se
est intentando acceder. Un cortafuegos a nivel 7 de trfico HTTP es
normalmente denominado Proxy y permite que los computadores de una
organizacin entren a internet de una forma controlada.
LLL
&RUWDIXHJRVSHUVRQDO
Es un caso particular de cortafuegos que se instala como software en un
computador, filtrando las comunicaciones entre dicho computador y el resto de la
red y viceversa.
LY
9HQWDMDVGHXQFRUWDIXHJRV
Protege de intrusiones. El acceso a ciertos segmentos de la red de una
organizacin, slo se permite desde mquinas autorizadas de otros segmentos
de la organizacin o de Internet.
Proteccin de informacin privada. Permite definir distintos niveles de acceso a la
informacin de manera que en una organizacin cada grupo de usuarios definido
tendr acceso slo a los servicios y la informacin que le son estrictamente
necesarios.
Optimizacin de acceso.- Identifica los elementos de la red internos y optimiza
que la comunicacin entre ellos sea ms directa. Esto ayuda a reconfigurar los
parmetros de seguridad.
73 de 104
Y
/LPLWDFLRQHVGHXQFRUWDIXHJRV
Un cortafuegos no puede proteger contra aquellos ataques que se efecten fuera
de su punto de operacin.
El cortafuegos no puede proteger de las amenazas a que esta sometido por
traidores o usuarios inconscientes. El cortafuegos no puede prohibir que los
traidores o espas corporativos copien datos sensibles en disquetes o tarjetas
PCMCIA y sustraigan stas del edificio.
El cortafuegos no puede proteger contra los ataques de Ingeniera social
El cortafuegos no puede proteger contra los ataques posibles a la red interna por
virus informticos a travs de archivos y software. La solucin real esta en que la
organizacin debe ser consciente en instalar software antivirus en cada mquina
para protegerse de los virus que llegan por medio de disquetes o cualquier otra
fuente.
El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos
de los cuales se permita el trfico. Hay que configurar correctamente y cuidar la
seguridad de los servicios que se publiquen a Internet.
YL
3ROtWLFDVGHOFRUWDIXHJRV
Hay dos polticas bsicas en la configuracin de un cortafuegos y que cambian
radicalmente la filosofa fundamental de la seguridad en la organizacin:
Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente
permitido. El cortafuegos obstruye todo el trfico y hay que habilitar expresamente
el trfico de los servicios que se necesiten.
Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente
denegado. Cada servicio potencialmente peligroso necesitar ser aislado
bsicamente caso por caso, mientras que el resto del trfico no ser filtrado.
74 de 104
%
6KRUHZDOO
Bsicamente es un conjunto de scripts, que nos permite trabajar todas las reglas
de nuestro firewall en forma de objetos y zonas (como se hace con los firewalls
como los PIX, FirewallOne, y otros productos para windows).
&
,QVWDODQGR6KRUHZDOO
Sencillamente con la siguiente linea se hace una instalacion desde cero.
W
'
!.5,
&RQILJXUDFLRQEDVLFDGHUHJODV
A manera de ejemplo usaremos alguna de las configuraciones realizadas para la
UNAs.
L
&UHDQGR]RQDV
W
#ZONE
#
fw
net
loc
dmz
Y Y
Y U
TYPE
OPTIONS
IN
OPTIONS
OUT
OPTIONS
firewall
ipv4
ipv4
ipv4
75 de 104
LL
'HILQLHQGRLQWHUIDFHV
W
LLL
#ZONE
INTERFACE
BROADCAST
OPTIONS
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
net
eth0
detect tcpflags,nosmurfs,logmartians
loc
eth1
detect routeback,tcpflags,detectnets,nosmurfs
dmz
eth2
detect routeback,tcpflags,detectnets,nosmurfs
(QPDVFDUDPLHQWR
W
LY
Y Y
Y ,>
Y Y
Y
#INTERFACE
SUBNET
ADDRESS
PROTO
PORT(S) IPSEC
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
eth0
eth1
eth0
eth2
'HILQLHQGRSROLWLFDV
W
Y Y
Y "
#SOURCE
DEST
POLICY
#
#LAST LINE -- DO NOT REMOVE
# DENEGANDO CONEXIONES LOCALES AL FW$
loc
$FW
REJECT
LOG
LEVEL
LIMIT:BURST
info
info
info
info
info
info
info
76 de 104
$FW
$FW
$FW
$FW
net
loc
all
dmz
ACCEPT
ACCEPT
ACCEPT
ACCEPT
Y
info
&UHDQGRUHJODV
W
Y Y
Y
# FIREWALL
ACCEPT
ACCEPT
loc
net
$FW
$FW
tcp
tcp
22
22
$FW
$FW
$FW
net
net
net
dmz:192.168.10.2 tcp
dmz:192.168.10.2 tcp
dmz:192.168.10.2 tcp
21
25
110
200.60.134.183
200.60.134.182
200.60.134.182
loc:172.16.0.20
loc:172.16.0.226
loc:172.16.0.110
loc:172.16.3.114
dmz:192.168.10.2
dmz:192.168.10.2
loc:172.16.3.116
loc:172.16.0.116
loc:172.16.2.1
loc:172.16.3.120
loc:172.16.0.116
net
net
net
net
net
loc
net
net
net
net
net
net
net
net
net
tcp
tcp
tcp
tcp
25
110
21
21
net
net
net
net
tcp
tcp
tcp
tcp
25
110
21
21
77 de 104
# Conexiones de Firewall
ACCEPT
loc
$FW
tcp
ACCEPT
loc
$FW
tcp
ACCEPT
$FW
net
tcp
# DENEGANDO CONEXIONES
DROP
net
DROP
net
(
$FW
$FW
3128
8080
80,44
tcp
tcp
8080
3128
9HULILFDFLRQGHWHQFLRQ\FRPSLODFLRQGHVKRUHZDOO
Probamos:
L
&KHFNHDQGRUHJODV
W
3
<
LL
5HFRPSLODFLRQGHUHJODV
W
LLL
/LPSLH]DGHUHJODV
W
3 "
LY
'HWHQHUODVUHJODV
W
!
78 de 104
(O6HUYLGRUGH)LOWUDGRGH&RQWHQLGR
$
6TXLG
Squid es un software libre que implementa un servidor proxy y un demonio para
cach de pginas web, publicado bajo licencia GPL. Tiene una amplia variedad
de utilidades, desde acelerar un Servidor Web, guardando en cach peticiones
repetidas a DNS y otras bsquedas para un grupo de gente que comparte
recursos de la red, hasta cach de web, adems de aadir seguridad filtrando el
trfico.
Aunque orientado a principalmente a HTTP y FTP es compatible con otros
protocolos como Internet Gopher. Implementa varias modalidades de cifrado
como TLS, SSL, y HTTPS.
%
'DQVJXDUGLDQ
DansGuardian actua como un filtro de contenido de sitios web muy potente que
trabaja conjuntamente con el servidor proxy SQUID, u otro proxy cach similar,
presente en la red local.
DansGuardian se sita o acta entre el navegador cliente y el proxy,
interceptando y modificando la comunicacin entre ambos. De esta forma facilita
la tarea de filtrado de pginas visitadas por el usuario desde el equipo cliente,
cuya utilizacin puede ser de especial inters en el aula, e incluso en el propio
domicilio.
&
,QVWDODFLyQ\FRQILJXUDFLyQ
L
,QVWDODFLyQGH648,'
Con la herramienta Synaptic (Sistema -> Administracin -> Synaptic) instalar la
versin disponible en el repositorio de Debian.
Si durante la instalacin del paquete aparece el mensaje FATAL: Could not
determine fully qualified hostname. Please set 'visible_hostname' , quiere decir
que el usuario debe incluir en el archivo de configuracin /etc/squid/squid.conf la
79 de 104
visible_hostname CTIC-UNAS
LL
,QVWDODFLyQGH'DQV*XDUGLDQ
Para instalar el paquete Ubuntu de DansGuardian se debe tener disponible el
repositorio Universe. Se puede comprobar que est disponible utilizando la
herramienta Synaptic y con ella buscar dicho paquete y proceder a su instalacin.
La versin disponible es la 2.8.0. La figura siguiente muestra el paquete ya
instalado.
80 de 104
LLL
&RQILJXUDFLyQGH'DQV*XDUGLDQ
El
archivo
de
configuracin
/etc/dansguardian/dansguardian.conf.
Para
de
editar
DansGuardian
dicho
archivo
es
ir
a:
Aplicaciones -> Accesorios -> Editor de textos que abre la aplicacin gedit para
modificar la configuracin por defecto de DansGuardian.
Como se trata de un archivo de configuracin del sistema slo un usuario sudo
puede hacerlo, por lo que, al editarlo desde el entorno grfico, no es posible
grabar las modificaciones hechas sobre l. Una solucin es ejecutar desde una
terminal de texto la siguiente orden:
W
Y Y
Y
"T?
81 de 104
3. En la seccin '
Network Settings' comprobar que estn las lneas
siguientes:
filterport = 8080
proxyip = 127.0.0.1
proxyport = 3128
82 de 104
En el caso de que se trate de una mquina aislada la direccin del proxy ser la
propia mquina, que deber tener instalado SQUID.
Ahora ir a: Aplicaciones -> Internet -> Navegador web Firefox y en la opcin de
men Editar -> Preferencias ir en la pestaa Red a Configurar la conexin. Por
defecto la conexin a Internet es directa y habr que dejarla como indica la figura.
Tambin es vlido utilizar como direccin IP la propia de la tarjeta de red y no la
interfaz de loopback (lo).
Si ahora como prueba, el usuario hace una bsqueda con la palabra '
chicas'en
Google y accede al primer enlace, se muestra la siguiente ventana:
$OLQWHQWDUDFFHGHUDDOJXQDGLUHFFLyQ
LQDSURSLDGD
REWHQGUHPRVHOPHQVDMHGHDYLVR
FRUUHVSRQGLHQWH
LY
&RQILJXUDFLyQGH648,'
Desde el punto de vista de SQUID, DansGuardian es como un cliente web
'
normal'
, pero lo que no debe hacer SQUID es permitir que ningn navegador se
conecte directamente a l '
puenteando'a DansGuardian.
Para ello el acceso al puerto de SQUID 3128 debe estar bloqueado mediante
cortafuegos o mediante una regla de IPTABLES.
83 de 104
10080
1440
4320
84 de 104
'
&RQILJXUDFLyQDYDQ]DGDPpWRGRVGHILOWUDGR
DansGuardian
utiliza
un
sistema
de
peso
de
las
frases
85 de 104
$UFKLYR
EDQQHGSKUDVHOLVW
EDQQHGPLPHW\SHOLVW
EDQQHGH[WHQVLRQOLVW
EDQQHGUHJH[SXUOOLVW
EDQQHGVLWHOLVW
EDQQHGXUOOLVW
EDQQHGXVHUOLVW
$UFKLYR
H[FHSWLRQVLWHOLVW
H[FHSWLRQLSOLVW
H[FHSWLRQXVHUOLVW
H[FHSWLRQSKUDVHOLVW
$UFKLYRVGHILOWURVHQHWFGDQVJXDUGLDQ
'HVFULSFLyQ
contiene una lista de frases prohibidas. Las frases deben estar entre <>.
Por defecto incluye una lista ejemplo en ingls. Las frases pueden
contener espacios. Se puede tambin utilizar combinaciones de frases,
que si se encuentran en una pgina, sern bloqueadas.
contiene una lista de tipos MIME prohibidos. Si una URL devuelve un tipo
MIME incluido en la lista, quedar bloqueada. Por defecto se incluyen
algunos ejemplos de tipos MIME que sern bloqueados.
contiene una lista de extensiones de archivos no permitidas. Si una URL
termina con alguna extensin contenida en esta lista, ser bloqueada. Por
defecto se incluye un archivo ejemplo que muestra como denegar
extensiones.
contiene una lista de expresiones regulares3 que si se cumplen sobre la
URL sta ser bloqueada.
contiene una lista de sitios prohibidos. Si se indica un nombre de dominio
todo l ser bloqueado. Si se quiere slo bloquear partes de un sitio hay
que utilizar el archivo bannedurllist. Tambin se pueden bloquear los sitios
indicados exeptuando los dados en el archivo exceptionsitelist. Existe la
posibilidad de descargarse listas negras tanto de sitios como de URLs y
situarlas en los archivos correspondientes. Estn disponibles en
http://dansguardian.org/?page=extras.
permite bloquear partes especficas de un sitio web. bannedsitelist bloquea
todo el sitio web y sta slo bloquea una parte.
lista de los nombres de usuario que estarn bloqueados.
$UFKLYRVGHH[FHSFLRQHVHQHWFGDQVJXDUGLDQ
'HVFULSFLyQ
86 de 104
(
)LOWHU*URXSV
Establece el numero de grupos de filtrado. Para el caso de la UNAS se
establecieron 03 grupos. El minimo valor es de 01.
Dansguardian automaticamente buscara un fichero GDQVJXDUGLDQ1FRQI donde
1 es el filter group. Todos los usuarios por defecto pertenecen al grupo 01.
|+}~}P
"~}~"~}
~}~
~})0"}P
filtergroups = 3
filtergroupslist = /etc/dansguardian/filtergroupslist
)
6$5*
Mediante este reporteador podemos ver accesos a internet y el uso del ancho de
banda. Por rendimiento este reporte no se genera a cada momento. Mas bien se
deberia generar a peticion del administrador con el siguiente comando.
El directorio destino por defecto para la UNAS es /reports. Un ejemplo de reportes
totales, incluyendo descargas, ancho de banda consumido, sitios accesados,
sitios denegados, etc.. seria:
|~(3,""73~
"
"~}P"~
"~"}
~"
G:
.b
P:
87 de 104
|]).b
P:
7"
:b0P90
7Bb.
~"
~
X~b
~.NG)~")
}P
:,
G
7
;
9
7
Q
0,
7
"}PH)mX
~.b"Be~:7He",^
.9
;
90,
7
;
:
9G
7
9.
7
P
9G
7
9?:
7
7
9Gb0PPG?
P:H)KeNB9
9Gb0PPG?
H
}Ge",0
XNB9
9Gb0PPG?
9Gb0PPG?
~
He)X~"}},}H}PKN.9
~:07
}P
~
"
"~
P
X
}P
~BN) N}P
~
}P
,})KN.9
fichero.
Segn
la
rotacion
podria
localizarse
en
88 de 104
89 de 104
(O6HUYLFLR1DJLRV
$
1DJLRV
Nagios es un sistema usado para monitorizar una red. Monitoriza los hosts y
servicios que se especifiquen, alertando cuando el comportamiento de la red no
es el deseado y nuevamente cuando vuelve a su estado correcto.
%
,QVWDODFLyQGH1DJLRV
Lo primero que tenemos que hacer es instalar el paquete.
|~.^7Q:}PP,~
Q}~
"
,
Una vez instalado se procede ha integrar nagios para la monitorizacion via web a
traves de apache copiando la configuracion siguiente.
|;""}P~"
"~Bb~
:?};7~Bb~
:
:}~"}~
"
90 de 104
&
&RQILJXUDFLyQGH$JHQWHV
Debemos empezar por definir usuarios para notificacion
|+}~}P
""}~
"""}N,~
P:
0"
define contact{
contact_name
alias
service_notification_period
host_notification_period
service_notification_options
host_notification_options
service_notification_commands
host_notification_commands
epager
email
pager
}
define contact{
contact_name
alias
service_notification_period
host_notification_period
service_notification_options
host_notification_options
service_notification_commands
host_notification_commands
epager
email
pager
}
vherrada
Victor Herrada
24x7
24x7
w,u,c,r
d,u,r
notify-by-email,notify-by-pager
host-notify-by-email,host-notify-byvherrada@unas.edu.pe
94180203@nextelperu.com
ctorres
Carlos Torres
24x7
24x7
w,u,c,r
d,u,r
notify-by-email,notify-by-epager
host-notify-by-email,host-notify-byctorres@unas.edu.pe
94170231@nextelperu.com
define contactgroup{
contactgroup_name
alias
members
}
router_admin
Administradores de Red
vherrada
define contactgroup{
contactgroup_name
alias
members
}
server_admin
Administradores de Sistema
ctorres
91 de 104
define host{
use
host_name
alias
address
check_command
max_check_attempts
notification_interval
notification_period
notification_options
}
generic-host
correosrv
Mail Server
192.168.10.3
check-host-alive
20
60
24x7
d,u,r
|+}~}P
""}~
""
P:
)
?
define hostgroup{
hostgroup_name
alias
contact_groups
members
}
servers
Servidores
mail-admins
gw,correosrv
92 de 104
El proximo paso es definir los servicios a monitorear por cada host. En nuestro
caso vamos a monitorear PING, SMTP y POP3.
|+}~}P
""}~
"
0"
define service{
use
host_name
service_description
is_volatile
check_period
max_check_attempts
normal_check_interval
retry_check_interval
contact_groups
notification_interval
notification_period
notification_options
check_command
}
generic-service
correosrv
PING
0
24x7
3
5
1
mail-admins
240
24x7
c,r
check_ping!100.0,20%!500.0,60%
define service{
use
host_name
service_description
is_volatile
check_period
max_check_attempts
normal_check_interval
retry_check_interval
contact_groups
notification_interval
notification_period
notification_options
check_command
}
generic-service
correosrv
SMTP
0
24x7
3
3
1
mail-admins
120
24x7
w,u,c,r
check_smtp
define service{
use
host_name
service_description
is_volatile
check_period
max_check_attempts
normal_check_interval
retry_check_interval
contact_groups
notification_interval
notification_period
notification_options
check_command
}
generic-service
correosrv
POP3
0
24x7
3
5
1
mail-admins
120
24x7
w,u,c,r
check_pop
93 de 104
94 de 104
(O6HUYLFLR)73
$
9VIWSG
VSFTPD (Very Secure FTP Daemon) es un sustento lgico utilizado para
implementar servidores de archivos a travs del protocolo FTP. Se distingue
principalmente porque sus valores por defecto son muy seguros y por su sencillez
en la configuracin, comparado con otras alternativas como wu-ftpd. Actualmente
se presume que VSFTPD es quiz el servidor FTP ms seguro del mundo.
%
,QVWDODFLyQGHO6HUYLGRU)73
|~.^7Q:}PP,~
;7mb
Con esta simple paso queda instalado, ahora la configuracin depende mucho de
lo que se quiera hacer, el servidor por defecto configura un directorio ubicado en
/home/ftp, es hay donde vas a colocar lo que desee subir a tu FTP y que la gente
tenga acceso como annimo.
&
&RQILJXUDFLyQGHO6LWH)73
|+}~}P
"7mbb?""}
95 de 104
y la dejamos
anonymus_enable = NO
'
$OWDGH8VXDULRV)73
Como el servidor FTP de la UNAS va a ser autenticado, entonces requiere ciertos
ajustes. En primer lugar con el simple hecho de crear un usuario (que por defecto
no tiene shell de usuario) no se puede activar el acceso ftp.
Despues de crear el usuario respectivo debemos modificar la shell de usuario
para poder dar el acceso ftp al usuario creado.
|~
:"9~P:
,}#=K"7~
P,
^r
,}2}P#
Kn.:7~P:^#o"%
,}2}P3=K:"9~P,
^#o
,;0
pK:"9~P,
^
~",}PQ,7;,
:",7:"9~P:^
.N:}P;
iH
^
}N,Q}
3 70 b~
??XQ}P( 70 b~
X~r"}
:~P~;~"~
"~~("
P,~9}N,
~
7~}#~3,}P7~
?XG}(
"~X~~3:7~,
}N:
""~#2}7";~7X""} N0 X~~#X:0
,}~
(":X7,09!:7~P:
bB7#~7,~?)G}?9
9"}#6:~P~P09
9"}#("~~J?N
:?N
9 3"
P,~#~3:}
07~
?X?})3H
|;
0739,}
:6:"9~P:
96 de 104
(
'HQHJDQGRHODFFHVRDXVXDULRV)73
Editando el fichero /etc/ftpusers y agregando los usuarios respectivos, podremos
denegar el acceso a nuestro servicio FTP a ciertos usuarios, asi estos cuenten
con shell de trabajo.
|+}~}P
"mf
root
daemon
bin
sys
sync
games
man
lp
mail
news
uucp
nobody
webmaster
)
3DUiPHWURVHVSHFLDOHV
Utilice un editor de texto y modifique el fichero /etc/vsftpd/vsftpd.conf. A
continuacin analizaremos los parmetros a modificar o aadir, segn se requiera
para necesidades particulares.
L
3DUiPHWURDQRQ\PRXVBHQDEOH
Se utiliza para definir si se permitirn los accesos annimos al servidor.
Establezca como valor YES o NO de acuerdo a lo que se requiera.
anonymous_enable=YES
LL
3DUiPHWURORFDOBHQDEOH
Es particularmente interesante si se combina con la funcin de jaula (chroot).
Establece si se van a permitir los accesos autenticados de los usuarios locales
del sistema. Establezca como valor YES o NO de acuerdo a lo que se requiera.
local_enable=YES
97 de 104
LLL
3DUiPHWURZULWHBHQDEOH
Establece si se permite el mandato write (escritura) en el servidor. Establezca
como valor YES o NO de acuerdo a lo que se requiera.
write_enable=YES
LY
3DUiPHWURIWSGBEDQQHU
Este parmetro sirve para establecer el bandern de bienvenida que ser
mostrado cada vez que un usuario acceda al servidor. Puede establecerse
cualquier frase breve que considere conveniente.
ftpd_banner=Bienvenido al servidor FTP de la UNAS.
Y
(VWDEOHFLHQGRMDXODVSDUDORVXVXDULRV
De modo predeterminado los usuarios del sistema que se autentiquen tendrn
acceso a otros directorios del sistema fuera de su directorio personal. Si se desea
recluir a los usuarios a solo poder utilizar su propio directorio personal, puede
hacerse fcilmente con el parmetro chroot_local_user que habilitar la funcin
de chroot() y los parmetros chroot_list_enable y chroot_list_file para establecer
el fichero con la lista de usuarios que quedarn excluidos de la funcin chroot().
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
Con lo anterior, cada vez que un usuario local se autentique en el servidor FTP,
solo tendr acceso a su propio directorio personal y lo que este contenga. No
olvide crear el fichero /etc/vsftpd/vsftpd.chroot_list, ya que de otro modo no
arrancar el servicio vsftpd.
:
,(7
ob
7mb0,Paf
YL
&RQWUROGHODQFKRGHEDQGD
D 3DUiPHWURDQRQBPD[BUDWH
98 de 104
E 3DUiPHWURORFDOBPD[BUDWH
Hace lo mismo que anon_max_rate, pero aplica para usuarios locales del
F 3DUiPHWURPD[BFOLHQWV
Establece
el
nmero
mximo
de
clientes
que
podrn
acceder
G 3DUiPHWURPD[BSHUBLS
una misma direccin IP. Tome en cuenta que algunas redes acceden a
travs de un servidor proxy o puerta de enlace y debido a esto podran
quedar bloqueados innecesariamente algunos accesos. en el siguiente
ejemplo se limita el nmero de conexiones por IP simultneas a 5.
max_per_ip=5
*
$SOLFDQGRORVFDPELRV
A diferencia de otros servicios FTP, VSFTPD no requiere configurarse como
servicio sobre demanda. Por lo tanto no depende de servicio xinetd
Para ejecutar por primera vez el servicio, utilice:
|Q":}7B
ob3P,~
99 de 104
Para hacer que los cambios hechos a la configuracin surtan efecto, utilice:
|Q":}7B
ob3P:~P
100 de 104
(O6HUYLFLR,'6
$
61257
Snort es un IDS o Sistema de deteccin de intrusiones basado en red (NIDS).
Implementa un motor de deteccin de ataques y barrido de puertos que permite
registrar, alertar y responder ante cualquier anomala previamente definida como
patrones que corresponden a ataques, barridos, intentos aprovechar alguna
vulnerabilidad, anlisis de protocolos, etc conocidos. Todo esto en tiempo real.
Snort (www.snort.org) est disponible bajo licencia GPL, gratuito y funciona bajo
plataformas Windows y UNIX/Linux. Es uno de los ms usados y dispone de una
gran cantidad de filtros o patrones ya predefinidos, as como actualizaciones
constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo
detectadas a travs de los distintos boletines de seguridad.
Este IDS implementa un lenguaje de creacin de reglas flexible, potente y
sencillo. Durante su instalacin ya nos provee de cientos de filtros o reglas para
backdoor, ddos, finger, ftp, ataques web, CGI, escaneos Nmap....
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu
ocurre en nuestra red, todo nuestro trfico), registro de paquetes (permite guardar
en un archivo los logs para su posterior anlisis, un anlisis offline) o como un
IDS normal (en este caso NIDS).
%
,QVWDODFLyQGHVQRUW
|~.^7Q:}PP,~
#:}
P
&
&RQILJXUDFLyQGHVQRUW
|+}~}P
"
:}
P0"}P
101 de 104
'
0DQHMDQGRORVVHUYLFLRV
Iniciando el servicio de snort
|Q":}7B
}2,~P
102 de 104
Multitud de intentos de conexin a samba tanto locales (este host pertenece a la red
de telefnica)
[**] [1:0:0] IDS177/netbios_netbios-name-query [**]
[Classification: information gathering attempt] [Priority: 8]
09/01-17:00:52.741894 200.60.134.180:1263 -> 172.16.0.253:137
UDP TTL:116 TOS:0x0 ID:3643 IpLen:20 DgmLen:78
Len: 58
[Xref => http://www.whitehats.com/info/IDS177]
Comandos de "traceroute" con ipopts (hecho por nosotros mismo desde la UNAS)
[**] IDS238/scan_Traceroute IPOPTS [**]
06/28-15:05:49.727722 138.100.17.15 -> 172.16.0.253
103 de 104
Esto es solo un analisis de los registros que capture. Esto no indica que estos
ataques tienen xito ya que se cuenta con el firewall para el filtrado respectivo. Lo
que si nos brinda es el convencimiento de los continuos ataques a los que
estamos expuestos.
104 de 104